Tardigrade skadelig programvare brukt i angrep mot vaksineprodusenter

I en nylig formell rådgiving til alle bioprodusenter informerte Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) om angrep utført i løpet av 2021 som var rettet mot "vaksineproduksjonsinfrastruktur".

Angrepene tilskrives en avansert vedvarende trusselaktør eller APT. I følge BIO-ISAC var skadevare som ble brukt i angrepene mot vaksineproduksjonsenheter spesielt avansert. Trusselen har blitt kalt "Tardigrade", etter de spektakulært spenstige små dyrene.

Undersøkelser av angrepene har vist at Tardigrade malware har overraskende egenskaper, inkludert evnen til å tilpasse seg et skiftende miljø, skjule sine spor godt, og viktigst av alt - operere på egen hånd, uten å motta noen input fra sine kommando- og kontrollservere.

Da det første angrepet ble overvåket tilbake i april 2021, fant forskerne at det var rettet mot et ikke navngitt "stort bioproduksjonsanlegg". Den samme skadevare ble senere brukt i et andre angrep mot en bioteknologisk enhet i oktober.

Dette er ikke den første cyberhendelsen som på en eller annen måte er relatert til Covid-19-vaksineproduksjonen og innsatsen for å tøyle pandemien generelt. Da han rapporterte om hendelsene og BIO-ISAC-rådgivningen, fremhevet Threatpost det nylige cyberangrepet mot det indiske selskapet som produserer Russlands Sputnik-vaksine, som bare ett eksempel.

Tardigrade malware deler noen vanlige funksjoner og atferd med SmokeLoader-bakdøren, men er mye mer autonom og i stand til sideveis bevegelse uten manuell input fra kommando- og kontrollservere, noe som virkelig er imponerende.

Selv om det ble antatt at Tardigrade var Cobalt Strike i et friskt lag med maling, bekreftet flere kilder at skadevaren faktisk var et annet beist, som hadde mer til felles med SmokeLoader enn Cobalt Strike.

Ethvert selskap som jobber innen bioteknologi og spesielt jobber med Covid-19-relaterte produkter og vaksiner bør "anta at de er mål", ifølge rådet utgitt av BIO-ISAC.